2024-11-20

2017年互联网安全将会面临的那些威胁

 IOT引发大规模DDOS

  2008年,IBM提议智能城市建设,就是所谓的Smart City。之后,越来越多的科技会议都在探讨研究Smart City这个理念。要建设Smart City,首先离不开的就是IOT(Internet of Things)。传统的网络已经不能满足人类的需求,因此物联网时代诞生了。摄像头要联网,监控系统要联网,汽车要联网,工控设备要联网,甚至人也要联网等,而这几年也是物联网时代的一个元年。但是,IOT的安全却不容乐观。2016年10月,美国DNS服务商遭到大型DDOS攻击,而这些攻击流量大部分都是从被入侵的IOT设备发出来的。随后,德国电信又遭到大型DDOS攻击,超过90万台路由器下线,其攻击流量也是从被入侵的IOT设备中发出的。随后新加坡等数个东南亚国家相继遭受到大范围的DDOS攻击。2017年,如果IOT厂商和用户还不注重这方面的安全,那么2017年或有可能产生有史以来最大范围和流量的DDOS攻击。

数据盗窃依旧疯狂

  春节来临之前,全球众多厂商的Mongo DB,ES等未做登陆验证的数据库遭到黑客入侵。黑客拖下数据备份,并且删除线上服务器的数据以此来进行勒索。这只是其中一个例子,2017年,个人数据,金融数据等将是数据盗窃团伙的首要目标。特别是近几年,大量的厂商开始推行Saas平台,一旦Saas平台遭到入侵,数据盗取量是十分惊人的。2016年,Yahoo以10亿数据泄露的代价成为史上最佳数据泄露的互联网企业,每年数据泄露的数量都在大幅度上升。值得庆幸的是《中国国家网络安全法》已经发布,该法案将在2017年6月份开始执行。该法案对于企业和政府安全基础建设有着极大的推动力。或许在执行该法案后,中国地区数据盗窃量会有所下降。

Web程序将遭受更多攻击

  虽然WAF发展已经有数年的时间,但是WAF其主要作用还是在DDOS,SQL注入,XSS等常规攻击上做维护。不过,像权限绕过,SSRF, CSRF等逻辑漏洞是无法用安全产品来进行维护的。2017年,众测平台将会有较大的发展,单纯靠机器挖掘漏洞已经不能满足于需求,人工检测漏洞的服务数量或许会大幅度上升。

网络勒索继续来袭

  2017年,网络勒索的数量和方式会有较大的提升。主要勒索类型为:软件勒索,数据勒索和DDOS勒索。

  勒索软件将会跨平台进行勒索,除了针对个人PC的勒索外,还有移动端勒索软件,工控设备勒索,服务器系统勒索软件等。这些勒索软件普遍采用RSA对系统内的文件进行加密,除了暴力破解和付费,别无其它方法。针对这个类型的攻击,除了用户和员工的安全意识培养以外,还需要在相关的安全基础建设外下功夫,比如病毒防火墙,云查杀,沙箱查杀等。

  近几个月,数据勒索事件也开始增加。2016年年底,大量的ES,Mongo DB数据由于未做验证,导致黑客可以进行未授权访问这些数据库。黑客拖下数据之后做备份,并且删除了数据服务器上的一切数据以此来做勒索。应对这种勒索方式,厂商需要提前做好云备份或者实时备份措施,同时需要对数据库登陆口令进行检测,杜绝弱口令和无口令的情况发生。

  2016年OVH服务器供应商遭到了1Tbps的IOT DDOS攻击。由于市面上大量IOT设备存在诸多漏洞,所以黑客可以拥有一个非常强大并且稳定的肉鸡集群。或许在2017年,会有多家互联网企业遭受DDOS勒索攻击。

自己都不知道的密码才是最安全的密码

  千万防火墙,毁于abc123。互联网上最大的漏洞不是在于软件,而是在于人。复杂的密码记不住,简单的密码又容易被破解。2017年,密码枚举可以算作十大网络安全问题之一。为了解决这个问题,IDaaS(身份即服务)诞生了,非常可惜的是,洋葱IDaaS在前不久因为资金问题,宣布解散。目前的安全市场,做IDaaS缺的不是方向,也不是技术,而是时间和成熟的“土壤”,而IDaaS市场的春天预计是在三年后。除了IDaaS以外,还有各式各样的认证模式也在发展当中,比如二维码认证,指纹认证,人脸认证等。

Flash?算了吧

  每年Flash都会给我们各种0day大礼包。2015年,Hacking Team泄露了三个flash的漏洞,2016年,又爆出了CVE-2016-1019和CVE-2016-4117。这两年来,Flash的漏洞总是被CVSS定义为高危漏洞。特别是前几个月,方程式小组被Shadow Brokers 入侵,不知道里面的0day会不会有Flash的。 2017年,估计还会有新的Flash漏洞爆出来。

  感谢Adobe给我们提供Flash那么多年,但是它真的老了,可以退休了。 2017年,弃Flash,保平安。

日防夜防,家贼难防

  现有的安全产品,主要是针对外部的网络攻击,但是针对内部威胁的安全产品却非常少。早在2007年,就有人提出内部威胁成跨国公司网络安全最大挑战。 2016年,中国某科研人员偷卖90项国家绝密情报被判死缓。随着安全市场的飞速发展,目前外部入侵需要花费很大的成本和精力,从内部攻击则有很大的优势。内部威胁,有些是随机性的,有些是计划性的,有些是远程性的。要对内部威胁做防护,最大的痛点不是在于系统,而是在于人,管理人比管理系统还要复杂得多。因此,2017年,内部威胁将是安全市场的一大挑战。

安全人才缺口巨大

  2016年,中国网络安全人才缺口在50万左右,预计到2020年这个数字会增长到140万。但是近三年来,全国高校只输出了3万左右的安全人员。现有的安全人才数量远远跟不上市场的需求量。没有人,任何安全维护都是空谈。安全人才短缺是一个全球性的问题,美国也是如此。2015年开始,美国各大企业已经和众多高校合作,建立人才培养基地,培养持续网络教育的环境,并且针对安全人才提供稳定就业机会和发展空间。根据Security Intelligence的调查,在硅谷网络安全人才的失业率目前保持在百分之零。2017年,中国安全市场最大的挑战不在于技术,而是在于安全人才的培养。